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© Verfahren zum Olagnostfzieren einer von Computerviren befaHenen Datenverarbeitungsanlage. 



© Oas Verfahren ist gekennzeichnet durch die Ver- 
wendung sines, einen Aigorithmus enthattenden, vi- 
rusfreien Programms P, aus dem zum Zeitpunkt x * 
to mit Httfe des Aigorithmus ein 
Programmauthentifizierungs-Code PAC =» f (P) ge- 
bildet und zusammen mit dem Programm abgespei- 
chert wird. Zu PrGfzwecken wird nun dieses virus- 
freie Programm zu sp&teren Ze&punkten x' » tl, t2 t 
t3, ... tn ate Kdderpr ogram m in dis zu untersuchende 
DatenverarbettungsarHaQs eingebracht und gestartet, 
der sen dab* ieweUs ergebend© 
ProgrammauthentifWerungs-Code PAC' mit dem ge- 
speicherten Program mautrterrtifiz^ PAC 
vergiichen und bei UngWchheit ein Fehlersignal er- 
zeugt. 
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verfahren zum Dlagnosttoieren einer von Computarvlran bela.lenen Datenverarbe.turgsam.ge 



Die Erlindung betrifft ein Verfahren zum Oia- 
gnostizieren einer von Computerviren befallenen 
Datenverarbeitungsanlage gemafl den Merkmalen 
des Oberbegriffs des Patentanspruchs 1. 

Computerviren haben die Eigenschaft. dafl sie 
ursprunglich sterile Programme infizieren. d.h. hin- 
sichtlich Qualitat und Quantitat so verandern. daB 
die Funktion und eventuell die Lange des befalle- 
nen Programms mit denen des ursprunglich steri- 
len Programms nicht mehr ubereinstimmen. Ein 
Virusprogramm kann dabei sowohl als isoliertes 
Programm als auch in Gestalt eines bereits infizier- 
ten Benulzerprogramms auftreten. In beiden Fallen 
besitzt es die Fahigkeit, eine Kopie von sich selbst 
zu erzeugen und in ein anderes Programm einzu- 
schieusen. das dann seinerseits wieder als Virus 
auftreten und weitere Programme infizieren kann 
mit der Folge. daB sich Computerwen letztlich 
"lawinenartig" ausbreiten k5nnen. 

In Anbetracht des Schadens, den ein infiziertes 
Programm anrichten kann, kommt dem rechtzeiti- 
gen Erkennen und Auffinden eines solchen Pro- 
gramms eine erhebliche Bedeutung zu. In der Pra- 
xis stoflt diese jedoch auf erhebliche Schwierigkei- 
ten, weil einem Programm, zumai einem umfang- 
reichen Programm. auf den ersten Blick grundsatz- 
lich nicht anzusehen 1st, ob es infi2iert 1st Oder 
nicht. Vergleichstests mit Hilfe eines sterilen Exem- 
plars desselben Programms anhand einer rein visu- 
ellen Prufung waren zwar grundsStzlich moglich. 
scheiden aber aus praktischen ErwSgungen aus. 
Auch der Einsatz der Oatenverarbeitungsanlage zur 
Programmprufung kommt letztlich nicht in Betracht, 
weil maschineii nicht mit letzter Sicherheit feststell- 
bar ist, ob ein Programm wirklich das tut. was es 
soli, abgesehen davon, da/3 noch viel weniger fest- 
stellbar ist, ob ein Programm etwas tut. was es gar 
nicht soli. 

Im ubrigen hatten derartige Prufroutinen, falls 
sie erfolgreich realisiert werden kCnnten. nur dann 
einen Sinn, wenn sie beliebig oft wiederholt werden 
kOnnten. Virusprogramme k6nnen namlich mit ei- 
ner besonderen Eigenart der sogenannten 
"Ausloser H -Funktion behaftet sein. Oas einge- 
schleuste Virus halt dann fur einen vorbestimmten 
Zeitraum still und wird erst durch den sogenannten 
Ausloser, zum Beispiel durch eine im Programm 
eingearbeitete Zeitangabe oder durch spezielle 
Rags wirksam. Wenn man also vor eventuellen 
"Zeitbomben" sicher sein will, mufl die Oatenverar- 
beitungsanlage fortlaufend im Hinblilck auf eventu- 
ell eingeschteuste und neu auftretende vlren unter- 
sucht werden. 

Der voriiegenden Erfindung Hegt nun die Auf- 
gabe zugrunde. eine Methode zu finden. mit der 



eine einfache unc beliebig wiederholbare Uberpru- 
fung einer Datenverarbeitungsanlage im Hinblick 
auf eventuell vorhandene Computerviren durchfuhr- 
bar ist. 

s Die LcSsung dieser Aufgabe ergibt sich erftn- 

dungsgemSB durch die kennzeichnenden Merkma- 
le des Patentanspruchs 1. Eine vorteilhafte Weiter- 
bildung des Erfindungsgedankens ist im Anspruch 
2 angegeben. 

to Das erfindungsgemafle Verfahren hat den Vor- 
teil. daB ansteile eines sehr aufwendigen Pro- 
grammvergieichs ledigiich ein Vergleich zweier Co- 
des erforderiich ist. Voraussetzung fUr das Funktio- 
nieren des erfindungsgemaflen Verfahrens ist eine 
75 zweifelsfrei sterile Kcpie des Programms. das 
heiflt, das Programm mufl auf einer Datenverarbei- 
tungsanlage hergestellt werden. von der mit Sicher- 
heit davon ausgegangen werden kann, dafl sie zum 
Zeitpunkt der Programmherstellung vtrusfrei war. 
20 Die Gewahr. daB ein stehles Vergteichs-'NormaT 
vorhanden ist. kann am einfachsten mit einem von 
der Testperson selbst geschriebenen Programm 
gegeben werden. bei dem die Testperson sicher 
sein kann, dafl kein Virus eingepflanzt worden ist. 
25 Oas aufgrund einer Differenz zwischen den beiden 
Codes gefundene Virus kann dann gegebenenfalls 
isoliert und untersucht werden. Aus der Art und der 
Wirkungsweise des gefundenen Virus kdnnen 
schliefilich Methoden zur Desinfektlon der Anlage 
30 entwickelt werden. 

Im folgenden wird die Erflndung anhand der 
Zeichnung nSher erlMutert Dabei zetgen 

FIG 1 ein BlockschattWld KJr eine Anordnung 
zur Erzeugung eines Testprogramms. 
35 FK3 2 ein Blockschartbild fOr eine Anordnung 

zur DurchfOhrung eines Testdurchlaufs. 

Ausgangspunkt Kir das erfindungsgemlfle Ver- 
fahren ist ein absolut virusfreies Programm P. des- 
sen Besonderheit darin besteht, dafl es einen Algo- 
40 nthmus « enthalt Gemafl Figur 1 wird nun mit Hirfe 
dieses Algcnthmus f zum Zeitpunkt to aus dem 
Programm P ein Programmauthentifizierungs-Code 
PAC erzeugt. der zusammen mit dem Programm P 
in einem Speichermedium M abgespeichert wird. 
45 Dieses, aus dem virusfreien Programm P und 
dem Programmauthentifizierungs-Code PAC gebil- 
dete Testprogramm wird nun gemafl Figur 2 zu 
spateren Zeitpunkten tt. t2 ... tn als sogenanntes 
Koderprogramm in die zu untersuchende Oatenvec- 
so arbeitungsanlage eingebracht. urn feststellen zu 
konnen. ob diese Datenverarbeitungsanlage noch 
steril oder bereits von sogenannten Computerviren 
befallen ist. Dieser zum Beispiel durch einen in der 
Datenverarbeitungsanlage vorhandenen Zeitgeber 
T ausgeloste Test lautt nun so ab. dafl aus dem 
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gespeicherten Testprogramm, d.h. mit dem im Pro- 
gramm P enthaltenen Algorithmus f ein weiterer 
Programmauthentifizierungs-Code PAC' erzeugt 
wird. Sowohl dieser neu gebifdete Programmau- 
thentifizierunge-Code PAC' als auch der gespei- 
cherte Programmautherttifizierungs-Code PAC wer- 
den schliefllich einem Komparator COMP zuge- 
fOhrt der bet Ungleichheit der Signale ein Fehlersi- 
gnaf erzeugt. 



Anspruche 

1. Verfahren zum Diagnostizieren einer von 
Computerviren befailenen Datenverarbeitungsanla- 15 
ge mit Hilfe eines Testprogramms, 
gekennzetchnet durch die Verwendung eines, ei- 

nen AJgorithmus f enthaltenden, virusfreien Pro- 
gramms P. aus dem 2um Zertpunkt x = to mit 
Hilfe des Algorithmus ein 20 

P'ogrammauthentifizierungs-Code PAC =* f (P) ge- 
bildet und zusammen mit dem Programm abge- 
speichert wird und da/3 dieses virusfreie Programm 
zu spSteren Zeitpunkten x' * n, t2, t3... tn als 
Koderprogramm in die zu untersuchende Datenver- 25 
arbeitungsanlage eingebracht und gestartet der 
sich dabei jeweils ergebende 

P'ogrammauthentifizierungs-Code (PAC') mit- dem 
gespeicherten Programmauthentifizierungs-Code 
(PAC) vergiichen und bei Ungleichheit ein Fshlersi- 30 
gnal erzeugt wird. 

2. Verfahren nach Anspruch t. 

dadurch gekennzelchnet, dafl der zu spSteren 
Z9itpunkten gestartete Programmlauf durch einen 
in der Datenverarbeitungsanlage vorhandenen Zeit- 35 
geber ausgelfist wird. 
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® Das Verfahren 1st gekennzeichnet durch die Ver- 
wendung eines, einen Aigorithmus enthattenden, vi- 
rusfreien Programms P. aus dem zum Zeitpunkt x = 
to mit Hifle des Algorithmua ein 
Programmauthentifi2ierungs-Code PAC * f (P) ge- 
biidet und zusammen mit dem Program m abgespei- 
chert wird. Zu PrtJfzwecken wind nun dieses virus- 
freie Program m zu spgteren Zettpunkten x' » tl, t2, 
t3, ... tn als Kg de r pro gr a mm in die zu untersuchende 
Datenverarbeitungsaniage eingebracht und gestartet, 
der s*ch dabei jewels ergetoende 
Programm arthengfi«iening»Code PAC' mit dem ge- 
speicheften Programmauthentfftzierungs-Code PAC 
verglichen und bei Ungfeicftheit ein FeNersignai er- 
zeugt 
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© Das Verfahren 1st gekennzeichnet durch die Ver- 
wendung sines, einen Algorithmus enthaltenden, vi- 
rusfreien Programms P. aus dem zum Zeitpunkt x = 
to mit HiKe des Algorithmus ein 
Programmauthentifizierungs-Code PAC » f (P) ge- 
bildet und zusammen mit dem Programm abgespei- 
chert wird. Zu Priifzweclcen wird nun dieses virus- 
freie Programm zu sp&eren Zeitpunkten x * t1, t2, 
t3. ... tn aJs K3derprogramm in die 2u untersuchende 
Datenverarbeitungsanlage eingebracht und gestartet, 
der sich dabei jsweils t ergebende 
Program mauthentifizisrungs-Code PAC mit dem ge- 
speicherten Programmauthentitizierungs-Code PAC 
vergtichen und bei Ungleichheit ein Fehlersignai er- 
zeugt. 
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